Çukurova Üniversitesi Enformatik Bölümü, Siber Güvenlik ve Etik Hacking Ders Notu - 2.Bölüm

1. SİBER SALDIRI YÖNTEMLERİ,
BİLGİ TOPLAMA ARAÇLARI
9.Hafta

2. Saldırı Aşamaları
• Bilgi Toplama(Veri)
• Hazırlık(Açıklık Tespiti)
• Saldırı(Açıklık Sömürme)
• Erişim
• Yetki Yükseltme
• İzleri Silmek

3. Saldırı MetodolojisiBilgiToplama
Aktif
Pasif
Tarama Zafiyet Doğrulama Sisteme Sızma
Yetki Yükseltme
Kendini Gizleme
Arka Kapı Bırakma

4. Saldırı Yöntem ve Çeşitleri
• Sistem tespiti (Fingerprinting)
• Zafiyetlerin Tespit Edilmesi
• Sistem ve Uygulamaya Yönelik Saldırıları
• Ağ Güvenliğine Yönelik Saldırılar
• Sosyal Mühendislik Saldırıları

5. Bilgi Toplama Yöntemleri
• Pasif
– Sistemle doğrudan iletişime geçmeden yapılan
bilgi toplama işlemleridir.
• Aktif
– Sistemle doğrudan iletişime geçerek yapılan bilgi
toplama işlemleridir.

6. Pasif Bilgi Toplama Araçları
• Whois/DNS(whois, Ripe, vb.)
• Arama motorları (Google, Bing, vb.)
• Dnsstuff (dnsstuff.com)
• Netcraft (netcraft.com)
• Arşiv siteleri (archive.org)
• IP Location (iplocation.net)
• Shodan (shodan.io)
• Bilgi toplama araçları

7. Aktif Bilgi Toplama Araçları
• Ping
• Nslookup
• Traceroute
• dig
• dnsmap
• Dmitry
• Fierce
• The Harvester
• Maltego
• Foca
• hping
• Nmap
• Centralops.net
• Pentest-tools.com
• Exploit-db.com
(Google Hacking Database)
• Robtex.com
• Mxtoolbox.com
• Dnsstuff.com

8. whois
• Kali -> Terminal -> #whois cu.edu.tr

9. whois.com / whois.com.tr

10. Google

19. Ping

20. host

21. nslookup

22. Traceroute

23. dig

24. dnsenum

25. dnsmap

26. dmitry

27. The Harvester

28. Maltego

29. Metasploit ile eposta toplama

30. Foca

31. hping

32. wafw00f

33. nmap

42. TARAMA, ZAFİYET TESPİTİ VE
PAROLA KIRMA
10. Hafta

43. Tarama
• Nmap
– Host, versiyon, tcp, ping, protocol, vb..
• Hping3
– Port, flag(paket), udp, vb..
• Zmap
• Netcat
• Nbtscan

44. nmap
• Nmap (Network Mapper)
– sT (3lü el sıkışma)
– sS (Syn taraması)
– sA (Ack firewall varmı)
– P 80 (ping olmadan 80.port)
– sU (Udp portlar)
– V (versiyonlar)
– O (işletim sistemi tahmini)
• nmap -sS -sV --open -n 192.168.1.1

45. Zafiyet Tespiti
• Network
– Nessus, OpenVas, INFRA
• Web
– Nikto, Acunetix, Burp Suite, Owasp Zap
• Metasploit
• Metasploitable 2

46. Parola Kırma
• Hydra
• Medusa
• Mimikatz
• Ncrack
hydra -L userlist -P passlist 192.168.0.1 protokol

47. Uygulama 1
• Metasploitable 2
• Nmap
• vsftpd
• Metasploit
• Exploit

48. Metasploitable
Sanal makine olarak çalıştırıyoruz..

49. Metasploitable
Kullanıcı adı ve parola, msfadmin

50. Metasploitable
ifconfig komutu ile IP bilgisini öğreniyoruz..

51. Erişim Kontrolü
Kali sanal makinamızdan Metasploitable2 sanal
makinamıza ping ile erişim sağladığımızı kontrol
ediyoruz. (Metasploitable’ın IP’sini öğrenmiştik)

52. Nmap ile Tarama
Nmap aracı ile sanal makinamızın taramasını
başlatıyoruz.
(Taradığımız makine, metasploitable sanal makinesi)

53. Nmap Tarama Sonuçları
Tarama sonucu zaafiyetler barından sistemde açık olan
servisler, portları ve sürüm bilgilerine erişiyoruz.

54. Nmap Sonucu Değerlendirme
İlk sırada bulunan ftp servisinin vsftpd sürümüne ilişkin
bir zafiyet sömürme aracı varmı kontrol ediyoruz.

55. Metasploit
Metasploit aracını açıyoruz..
msfconsole veya M simgesi ile..

56. Metasploit
Metasploit içerisinde vsftpd ile ilgili arama yapıyoruz..
search vsftpd
Bir adet backdoor buluyoruz.

57. Metasploit
Bulduğumuz exploit’i kullanmaya ve seçeneklerini
görmeye başlıyoruz.
use exploit/unix/ftp/vsftpd_234_backdoor
show options

58. Metasploit
Ardından RHOST ile IP tanımlıyoruz, payload
seçeneklerine bakıyoruz.
set RHOST 192.168.72.131
show payloads

59. Metasploit
Payload’ı kullanmak için tanımlıyoruz ve seçeneklerine
bakıyoruz.
set payload cmd/unix/interact
show payloads

60. Metasploit
RPORT ile port tanımlamasını yapıyoruz.
set RPORT 21

61. Metasploit
Tanımladığımız bilgiler doğrultusunda payload’ın
çalıştırılması için başlatıyoruz.
exploit
veya
Run

62. Metasploit
Exploit çalıştı başarılı bir şekilde payload makinanın
shell oturumunu açtı.. Artık sistemdeyiz…

63. Uygulama 2
• Metasploitable 2
• Nmap
• ssh
• hydra

64. Metasploitable
Hedef sistem olarak belirlenen sanal
makinamızın IP bilgisini öğrendikten sonra Nmap
taraması ile erişmek istediğimiz servisleri
belirliyoruz. (telnet ve ssh)

65. Hydra ile Parola Kırma Atağı
Servislerin kullanıcı adı ve parolasını tekil olarak tahmin
ile denemek için Hydra’yı kullanıyoruz. (telnet ve ssh)

66. Hydra
Kullanıcı adı ve parola listeleri oluşturup onları Hydra ile
deniyoruz.

67. Hydra
Liste denemelerimizin sonuçları.. (telnet ve ssh)

68. Uygulama 3
• Man in the Middle
• Sosyal mühendislik

69. Sosyal Mühendislik
Site clone yöntemi ile kişileri orijinal sitelerin
benzer zararlı kopyalarına ulaştırıp kullanıcı adı
ve parola bilgilerini alma amaçlı bir sosyal
mühendislik saldırı örneği oluşturmak için;
Se-Toolkit kullanıyoruz.

70. Sosyal Mühendislik
SET açılıyor..

71. Sosyal Mühendislik
Sosyal Mühendislik Atağı’nı seçiyoruz..

72. Sosyal Mühendislik
Web site atağını seçiyoruz..

73. Sosyal Mühendislik
Kimlik Doğrulayıcı(Credential Harvester) atağını seçiyoruz..

74. Sosyal Mühendislik
Site klonlamayı seçiyoruz..

75. Sosyal Mühendislik
Klon site için IP adresi belirleyip, Gerçek sitenin url
bilgisini yazıyoruz.(klonu yapılacak site)

76. Sosyal Mühendislik
Klonumuz hazır.. Artık tarayıcı ile IP adresine gelen
kullanıcının bilgilerini alabiliriz..

77. Sosyal Mühendislik
Tarayıcı açıp IP adresini giriyoruz..

78. Sosyal Mühendislik
Klonumuz karşımızda..

79. Sosyal Mühendislik
Kullanıcı bilgilerini girdiğinde ve giriş yaptığında sanki
yanlış yazılmış gibi orijinal siteye gönderiyor..

80. Sosyal Mühendislik
Orijinal site..

81. Sosyal Mühendislik
Kullanıcının girdiği bilgiler artık elimizde…
Kullanıcı adı ve parola..

82. WEB GÜVENLİĞİ SALDIRI VE SAVUNMA
YÖNTEM-ARAÇLARI (TEMİZ KOD)
11. Hafta

83. Web
• TCP/IP
– Http protokolü
• Web Server

84. HTTP Metodları
Yöntem Açıklama
GET Sunucudan bir kaynağı ister
HEAD GET gibi kullanılır ama sadece Header getirir ve içerik getirmez
POST Sunucuda bulunan verinin içeriğini değiştirmesini ister
PUT Sunucuda bir kaynak yaratmasını veya başka kaynak ile değiştirmesini ister
DELETE Sunucuda bulunan bir kaynağı silmesini ister
CONNECT SSL bağlantıların HTTP bağlantıları içinden geçmesini sağlar
OPTIONS Sunucudan bir kaynakla ilgili geçerli yöntemleri ister
TRACE Sunucunun istek Header’larını geri göndermesini ister

85. HTTP Durum Kodları
• 1xx: Bilgi mesajları.
• 2xx: Başarılı istek yanıtları.
• 3xx: İstemciyi başka bir kaynağa yönlendiren
yanıtlar.
• 4xx: Bir hata barındıran isteklere karşı üretilen
yanıtlar.
• 5xx: Sunucu tarafında istek karşılanmaya
çalışılırken bir hata alındığına ilişkin yanıtlar.
404Page not found

86. Http Header Bilgileri
• Request
– Cf-Connecting-Ip
– Cookie
– Accept-Language
– Referer
– Accept
– User-Agent
– Upgrade-Insecure-Requests
– Cf-Visitor
– X-Forwarded-Proto
– Cf-Ray
– X-Forwarded-For
– Cf-Ipcountry
– Accept-Encoding
– Connection
– Host
• Response
– Content-Base
– Content-Length
– Cache-Control
– Content-Type
– Date
– eTag
– Last-Modified
– Location
– Server
– Set-Cookie
– X-Powered-By
– WWW-Authenticate
– Connection
Bir web sitesinin header bilgilerini görmek için; https://headers.cloxy.net/ adresinden
yararlanılabilir.

88. Sunucu Teknolojileri
• Scripting dilleri (PHP, VBScript, Perl)
• Web uygulama platformları (ASP.NET, Java)
• Web sunucuları (Apache, IIS, ngix)
• Veritabanları (MS-SQL, Oracle, MySQL)
• ve diğer destekleyici servislerdir (File Systems, SOAP
tabanlı web servisleri, dizin servisleri)
• İstemci gönderileri
– URL sorgu string’leri
– HTTP cookie’leri
– POST metodu ile yapılan istek mesaj gövdeleri

89. Web Lab Uygulama Yazılımları
• DVWA
• Mutillidae
• SQLol
• Hackxor
• The BodgeIt Store
• Exploit KB / exploit.co.il Vulnerable Web App
• WackoPicko
• WebGoat
• OWASP Hackademic Challenges Project
• XSSeducation

90. Damn Vulnerable Web App (DVWA)
• Web uygulama güvenliği alanında kendini geliştirmek
isteyenler için PHP ile oluşturulmuş içinde belli web
zafiyetlerini barındıran bir eğitim sistemidir.
• Barındırdığı Zafiyetler:
– Brute Force
– Command Execution
– CSRF
– File Inclusion
– SQL Injection
– Upload
– XSS Reflected
– XSS Stored

91. DVWS Uygulamaları
• Sanal makine Metasploitable2
• Firefox tarayıcısı

92. KABLOSUZ AĞ GÜVENLİĞİ
12. Hafta

93. Kablosuz Ağ Güvenliği
• Open Security
• WEP
• WPA
• RSN
• RADIUS / WPA-RADIUS
• Wireless Gateway
• Firmalara özel çözümler

95. Kablosuz Ağ Saldırı Çeşitleri
(IEEE 802.11x Tehditleri)
• Erişim Kontrolü Saldırıları (Access Control Attacks)
• Gizlilik Saldırıları (Confidentiality Attacks)
• Bütünlük Doğrulama Saldırıları(Integrity Attacks)
• Kimlik Doğrulama Saldırıları (Authentication Attacks)
• Kullanılabilirlik saldırıları (Availability Attacks)

96. Erişim Kontrolü Saldırıları
(Access Control Attacks)
• Kablosuz Ağları Tarama (War Driving)
• Yetkisiz Erişim Noktası (Rogue Access Point)
• Mac Adres Sahteciliği (Mac Spoofing)
• Ip Adresi Yanıltma (Ip Spoofing)
• Güvenli Olmayan Ağa Bağlanma (Adhoc Associations)
• 802.1x Radius Cracking

97. Gizlilik Saldırıları
(Confidentiality Attacks)
• Gizli Dinleme (Eavesdropping)
• Wep Anahtarı Kırma (Wep Key Cracking)
• Ap Üzerinde Sahte Portal Çalıştırmak (Ap Phishing)
• Ortadaki Adam Saldırısı (Man In The Middle)

98. Bütünlük Doğrulama Saldırıları
(Integrity Attacks)
• 802.11 Paketi Püskürtme (Frame Injection)
• 802.11 Veri Tekrarlama (802.11 Data Replay)
• 802.1x EAP Tekrarlama (802.1x EAP Replay)
• 802.1x Radius Tekrarlama (802.1x Radius Replay)

99. Kimlik Doğrulama Saldırıları
(Authentication Attacks)
• Shared Key Guessing
• PSK Cracking
• 802.1x Password Guessing
• Application Login Theft
• Domain Login Cracking
• 802.1x LEAP Cracking
• 802.1x EAP Downgrade

100. Kullanılabilirlik Saldırıları
(Availability Attacks)
• Servis Reddi Saldırıları (DoS Attacks)
• AP Theft
• Queensland DoS
• 802.11 Beacon Flood
• 802.11 Deauthenticate Flood
• …

101. Saldırı Araçları
• airmon-ng
• airodump-ng
• aireplay-ng
• aircrack-ng
• reaver
• Netstumbler /
MiniStumbler
• Kismet
• Airodump
• Aircrack

102. Saldırı Yöntemi
• airmon-ng start wlan0 wifi monitor mod
• airodump-ng wlan0mon çevredeki ağlar bilgi
• airodump-ng wlan0mon BSSID ile paket toplar
• aireplay-ng –deauth 100 -e Test wlan0mon
istemciyi yeniden bağlanmaya zorlama (el sıkışma)
• aircrack-ng WPA2-01.cap -w /wordlist/liste.txt – o
paketlere kaba kuvvet saldırısı ile parola bulma.

108. Savunma
• Kablosuz ağ erişim noktalarının yama ve
firmware güncellemesinin yapılması
• WPA/WPA2 ile güçlü parola ilkesi uygulanmalı
• Mümkünse trafik VPN ile tünelleyerek
şifrelenmeli
• Mümkünse Mac filter kullanılmalı

109. SIZMA TESTLERİ(PENTEST)VE
SİBER GÜVENLİK STANDARTLARI
13. Hafta

110. Sızma Testi
• Penetration Test
• PenTest
• Sızma Testi
• Yazılım Güvenlik Testi
• Siber Güvenlik Tatbikatı
• Siber Tatbikat
gibi isimlerle de anılmaktadır.

111. Sızma Testi
Güvenlik uzmanları tarafından gerçekleştirilen,
kötü amaçlı bir saldırganın sisteme verebileceği
zararları raporlamak ve önceden savunma
önlemleri almak amacı ile oluşturulan saldırı
denemelerinin tamamıdır. (Burlu, 2010)
Sızma testlerinin amacı, kuruluşlara sistemlerini
daha güvenli hale getirmelerinde yardımcı
olmaktır.

112. Sızma Testleri
• Beyaz şapkalı hacker,
• Etik hacker,
• Pentester,
• Sızma Testi Uzmanı,
gibi isimler adı altında ifade edilen siber güvenlik
uzmanları tarafından gerçekleştirilmektedir.
Uzmanlar belirli kalite standartlarına göre
çalışmaktadırlar.

113. Sızma Testi = Zafiyet Analizi mi?
• Sızma Testi ≠Zafiyet Analizi
• Aynı şey değildir.
• Sızma testi, yazılım ve yöntemler kullanarak
hedef sistemlere sızma girişimleridir.
• Zafiyet Analizi, otomatize araçlar kullanarak
sistem güvenliğinin teknik açıdan incelenmesi
ve raporlanmasıdır.

114. Zafiyetten > Sızma Testine
• Belirlenen bilişim sistemlerindeki mantık hataları
ve zafiyetleri tespit ederek, söz konusu güvenlik
açıklıklarının kötü niyetli kişiler tarafından
istismar edilmesini önlemek ve sistemleri daha
güvenli hale getirmek maksadıyla, “yetkili” kişiler
tarafından ve “yasal” olarak gerçekleştirilen
güvenlik testleridir.
• Pentest çalışmalarındaki asıl amaç, zafiyeti tespit
etmekten öte ilgili zafiyeti sisteme zarar
vermeyecek şekilde istismar etmek ve yetkili
erişimler elde etmektir.

115. Sızma Testi Yöntemleri
• Hedefe yapılacak testin türü uzmana verilecek
yetki ve bilgiye göre değişiklik göstermektedir.
• Beyaz Kutu Sızma Testleri (White Box)
• Siyah Kutu Sızma Testleri (Black Box)
• Gri Kutu Sızma Testleri (Gray Box)
Şeklinde üç gruba
ayırmak mümkündür.

116. Beyaz Kutu
• Güvenlik testi ekibi, sistemin kendisi ve arka
planda çalışan ilave teknolojiler hakkında tam
bilgi sahibidir.
• Test yapılan Firmaya daha büyük fayda sağlar.
• Hata ve zafiyetleri bulmak kolaylaşacağından
bunlara tedbir alınma süresi de azalacaktır.
• Sistemin zarar görme riski çok azdır ve maliyet
olarak da en az maliyetli olandır.

117. Siyah Kutu
• Başlangıçta güvenlik testi yapılacak sistemle ilgili
bir bilgi yoktur.
• Tamamen bilinmeyen bir sistem ile ilgili bilgi
toplanacak ve testler yapılacaktır.
• Bu yöntemde test ekibinin sistem ile ilgili bilgi
düzeyi hiç olmadığından, yanlışlıkla sisteme zarar
verme ihtimalleri de yüksektir.
• Bilgi toplama safhası oldukça zaman alır.
• Süre bakımından en uzun süren yaklaşım tarzıdır.

118. Gri Kutu
• Sistem ile ilgili bilgiler mevcuttur.
• Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon
bilgisi vb.
• Bilgiler güvenlik testi yapacak ekibe önceden
sağlanır.
• Black Box yaklaşımına göre daha kısa zaman alır.
• Kontrolü ve testi istenen IP adresleri belli
olduğundan sistemin, istem dışı zarar görme
ihtimali de azalmış olur.

119. Metodoloji
• Önceden belirlenmiş ve denenmiş, kalıplaşmış
standartlar haline gelmiş kural ve yöntemler.
• OWASP (Open Web Application Project)
• OSSTIMM (The Open Source Secırity Testing Methodology Manual)
• ISSAF (Information Systems Security Assessment Framework)
• NIST (SP800-15)

120. Sızma Testi Metodolojisi
• Bilgi toplama
• Ağ Haritalama
• Zayıflık Tarama
• Sisteme Sızma
• Yetki Yükseltme
• Başka Ağlara Sızma
• Erişimleri Koruma
• İzleri Temizleme
• Raporlama
Resim Kaynağı : CRYPTTECH
Kapsam Belirleme, Bilgi Toplama, Keşif ve Tarama, Zafiyet Taraması ve Analizi, İstismar Etme, Yetki Yükseltme, Yayılma, Bilgi-Doküman Toplama, İzleri Temizleme, Raporlama

121. Sızma Testi Çeşitleri
• İç Ağ
• Dış Ağ
• Web
• Kablosuz
• Mobil
• Sosyal Mühendislik
• Dos/DDoS
Resim Kaynağı: CRYPTTECH

122. Pentest Rapor Örnekleri
1. https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf
2. https://www.sans.org/reading-room/whitepapers/bestprac/writing-penetration-testing-report-
33343
3. http://www.niiconsulting.com/services/security-assessment/NII_Sample_PT_Report.pdf

123. Standartları Oluşturan Kuruluşlar
• IEEE
• ICANN
• ISO/IEC
• ETSI
• IETF
• NIST
• PCI SSC
• TSE

124. Standartlar
• ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi
• CC
• COBIT
• COSO
• ITIL
• CMMI
• TSE

125. ISO 27001
• Varlıkların sınıflandırılması,
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların
değerlendirilmesi,
• Risk analizi yapılması,
• Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,
• Dokümantasyon oluşturulması,
• Kontrollerin uygulanması,
• İç tetkik,
• Kayıtların tutulması,
• Yönetimin gözden geçirmesi,
• Belgelendirme
şeklindedir.

126. Sertifikalar
• CompTIA – Security+
• CEH (Certified Ethical Hacker)
• LPT (Licensed Penetration Tester)
• OSCP (Offensive Security Certified Professional)
• CCSP (Cisco Certified Security)
• CISSP (Certified Information Systems Security Professional)
• CPTE (Certified Penetration Testing Engineer)
• ECSA (EC-Council Certified Security Analyst)
• GIAC (GPEN, GWAPT, GXPN)
• CEPT (Certified Expert Penetration Tester)

127. Windows Pentest Box
• Windows ile Pentest
araçları
• https://pentestbox.org

128. SİBER GÜVENLİĞİN HUKUKİ
BOYUTU VE BİLİŞİM HUKUKU
14. Hafta

129. Bilişim Hukuku
• Sayısal bilginin paylaşımını konu alan hukuk
dalıdır.
• İnternetin kullanımına ilişkin yasal çerçeveyi
belirleyen internet hukukunu kapsamaktadır.
• Yoğun olarak Ceza hukuku, Genel hukuk ve
Fikir Sanat Eserler Kanunun Hukuk kuralları
açısından ele alınır.
• https://www.tbb.org.tr/Content/Upload/Dokuman/801/BILISIM_HUKUKU.pdf

130. Bilişim Suçları
• Yetkisiz ve izinsiz erişim (Hacking)
• Verilere Yönelik Suçlar
• Bilişim Ağlarına Yönelik Suçlar
• Sanal Tecavüz
• Bilişim Ortamında Cinayet
• Tehdit ve Şantaj
• Hakaret ve sövme
• Taciz ve Sabotaj
• Dolandırıcılık
• Hırsızlık
• Sahtekarlık
• Manipülasyon
• Pornografi
• Röntgencilik
• Siber Terörizm
• Siber Propaganda

131. Bilişim İle İlgili Kanunlar
• Türk Ceza Kanunu (Bilişim Suçları) (5237)
• Türk Ceza Kanunu (Bilişim Vasıtalı Suçlar)
• Fikir ve Sanat Eserleri Kanunu (FSEK-5846) (71,72,73)
• Ceza Muhakemesi Kanunu (5271-Madde 134)
• Kaçakçılıkla Mücadele Kanunu (4926 - Madde 12)
• 5651 Sayılı Kanun (İnternet Ortamında Yapılan Yayınların
Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
Hakkında Kanun)
• 5809 Sayılı Elektronik Haberleşme Kanunu
• 5070 Sayılı Elektronik İmza Kanunu

132. 5237 sayılı Türk Ceza Kanunu’nun
Bilişim Suçlarına İlişkin Hükümleri
• Madde 243
• Madde 244
• Madde 245
• Madde 124
• Madde 132
• Madde 133
• Madde 134
• Madde 135
• Madde 136
• Madde 137
• Madde 138
• Madde 140
• Madde 142
• Madde 158

133. 5237 sayılı Türk Ceza Kanunu’nun
Bilişim Suçlarına İlişkin Hükümleri
• Madde 243: Bilişim Sistemine Girme
• Madde 244: Sistemi Engelleme, Bozma, Verileri
Yok Etme veya Değiştirme
• Madde 245: (5377 Sayılı Kanunun 27. Maddesiyle Değişik):
Sahte Banka Veya Kredi Kartı Üretimi ve Kullanımı
• Madde 246: Tüzel kişiler hakkındaki tedbirler

134. 5237 sayılı Türk Ceza Kanunu’nun
Bilişim Vasıtalı Suçlarına İlişkin Hükümleri
• Madde 124: Haberleşmenin Engellenmesi
• Madde 132: Haberleşmenin Gizliliğini İhlal
• Madde 133: Kişiler Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması
• Madde 134: Özel Hayatın Gizliliğini İhlal
• Madde 135: Kişisel Verilerin Kaydedilmesi
• Madde 136: Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
• Madde 137: Nitelikli Haller
• Madde 138: Verileri Yok Etmeme
• Madde 140: Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması
• Madde 142: Nitelikli Hırsızlık
• Madde 158: Nitelikli Dolandırıcılık
• Madde 226: Müstehcenlik

135. Fikir ve Sanat Eserleri Kanunu (5846)
• Madde 71 – Manevi Haklara Tecavüz.
– Yazılımı kamuya sunma hakkı,Yazılım sahibinin
adını belitme hakkı, Değişiklik yapılmaması hakkı
• Madde 72 – Mali Haklara Tecavüz.
– Değiştirmek, kopyalamak, çoğaltmak yaymak,
ticaret konusu yapmak, aracılık etmek, suçtur.
• Madde 73 – Diğer Suçlar

136. Ceza Muhakemesi Kanunu (5271)
• Madde 134 – Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama,
kopyalama ve elkoyma.
– (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının
bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı
bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına,
bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline
getirilmesine hâkim tarafından karar verilir.
– (2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden
dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün
yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir.
Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar
gecikme olmaksızın iade edilir.
– (3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün
verilerin yedeklemesi yapılır.
– (4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve
bu husus tutanağa geçirilerek imza altına alınır. (5) Bilgisayar veya bilgisayar kütüklerine
elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir.
Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer
tarafından imza altına alınır

137. Kaçakçılıkla Mücadele Kanunu (4926)
• Madde 12 – Gümrük idarelerinde sahte beyan
ve belge.
– Gümrük idarelerinde işlem görmediği halde işlem
görmüş gibi herhangi bir belge veya beyanname
düzenleyenler veya bu suçları bilişim yoluyla
işleyenler hakkında Türk Ceza Kanununun evrakta
sahtekarlık ve bilişim alanındaki suçlarla ilgili
hükümlerinde belirtilen cezalar bir kat artırılarak
uygulanır.

138. Türk Ceza Kanunu (243)
Türk Ceza Kanunu Madde 243 (Bilişim sistemine girme)
(1) Bir bilişim sisteminin bütününe veya bir kısmına,
hukuka aykırı olarak giren ve orada kalmaya devam
eden kimseye bir yıla kadar hapis veya adlî para cezası
verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı
yararlanılabilen sistemler hakkında işlenmesi hâlinde,
verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya
değişirse, altı aydan iki yıla kadar hapis cezasına
hükmolunur.

139. Türk Ceza Kanunu (244)
Türk Ceza Kanunu Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya değiştirme)
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş
yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez
kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen
kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya
kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza
yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin
kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka
bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin
güne kadar adlî para cezasına hükmolunur.

140. GENEL TEKRAR
VE FİNALE HAZIRLIK
15. Hafta